it-swarm-es.com

Servicios de seguridad en Edge Router frente a firewall estándar

Si puedo ejecutar una VPN de sitio a sitio, NAT & ACL reflexivas en un enrutador Edge (más funciones de enrutamiento normales), ¿cuál sería el uso de ejecutar un firewall estándar detrás de él?

Por ejemplo, Core Switch -> Firewall -> Edge Router -> Conexiones ISP

Preguntado de otra manera, ¿por qué querría ejecutar VPN y ACL reflexivas en el firewall, y NAT + funciones de enrutamiento en el enrutador, si el enrutador puede hacerlo todo?

8
Josh Brower

Lo que no menciona, y lo que es importante en general para este tipo de preguntas, es específicamente qué tipo de hardware tiene, cuáles son sus requisitos (rendimiento, conexiones simultáneas, carga de criptografía, etc.). ¿Cómo se ve una instantánea de su tráfico, de dónde viene y qué, idealmente, debería entrar y salir?

(Y también debe preocuparse por los peores escenarios, dependiendo de a quién esté brindando soporte: el mundo, los clientes externos con SLA, los clientes internos, dos personas en una oficina, es posible que deba preocuparse por el peor de los casos solo un poco, o potencialmente podría ser el núcleo de su diseño).

Con eso que falta, aquí hay algunas razones generales por las que evitaría las soluciones todo en uno:

  • los dispositivos todo en uno lo dejan con un solo punto de falla (o al menos una ruta de datos colapsada que es más propensa a ser desactivada por falla)
  • la mayoría de los dispositivos de función (enrutadores, conmutadores o cortafuegos), especialmente una vez que se sale de los productos básicos de gama baja, están optimizados para sus funciones principales.

    • Esto significa que hardware está optimizado: la criptografía para IPSec u otra VPN se descarga a los ASIC, los backplanes de los conmutadores se convierten en superautopistas (o no), los chips especializados manejan los flujos de capa 2, etc. Los conmutadores de Cisco han utilizado ASICS desde siempre . Juniper y Cisco han estado realizando enrutamiento durante mucho tiempo y saben cómo descargar al hardware de manera adecuada.

    • ... y software está optimizado. Los componentes pueden funcionar, pero si son adiciones, no integradas desde el principio, verá el resultado en flexibilidad, resistencia y estabilidad. En muchos casos, las empresas han adquirido porque tienen dispositivos que apuntalan una debilidad y hacen una o dos cosas muy bien; con el tiempo, se han agregado (y agregado y agregado) características, generalmente solo en software, de modo que usted, el cliente puede comprar un producto agradable "completo". Puede ver las consecuencias de esto en todo, desde las interfaces de usuario básicas hasta la rigidez de las herramientas de informes para algunos componentes frente a otros. Si tiene ACL reflexivas y VPN e IPSec y captura de paquetes e inspección profunda de paquetes en un dispositivo, alguien tiene que configurarlo, alguien tiene que monitorearlo, y alguien tendrá que, en algún momento, solucionarlo. ¿Son estas cosas que surgen de forma natural, fluyen del diseño de la interfaz de usuario, o tiene que llamar al soporte solo para explicar la verborrea del menú o para analizar un volcado de memoria?

Ridícula analogía número uno: puedes poner un spoiler en un cívico, e incluso podría hacer un pequeño algo, pero ese spoiler es en realidad solo una decoración . (Si su seguridad se trata de acertar en las casillas correctas para las auditorías, a veces puede "salirse con la suya" con las decoraciones. Pero esto no es seguridad real, y lo sabemos).

Tener un producto que hace demasiado también puede aparecer en el soporte del producto. Si tiene un problema en su dispositivo Everything, ¿cuánta asistencia tiene? ¿Cuánto tiempo llevan admitiendo la capacidad complementaria número 96 y 97 de este dispositivo? Si es una ocurrencia tardía, esto podría ser un problema. ¿Cuántos desarrolladores ha involucrado el proveedor en pruebas de regresión, corrección de errores y nuevas versiones de código?

Para el hardware, a menudo puede agregar módulos que le brinden potencia adicional en algunas áreas. Cisco vende una gran cantidad de tarjetas y módulos que descargarán el trabajo criptográfico, o 'anti-X' o IDS/IPS, y estos van en todo, desde ASA hasta conmutadores de 6500 núcleos. ¿Gran idea? Eso depende. ¿Puede permitirse otro dispositivo o hará más con menos?
Y los enrutadores siguen siendo los mejores para enrutar el tráfico, los conmutadores centrales generalmente son mejores no engañar con listas de acceso, los firewalls son mejores si no ejecutan OSPF y BGP.

Para terminar, aquí hay otra analogía ridícula: un atleta puede ser un nadador fantástico, un jugador de baloncesto o un gimnasta, pero eso no significa que el mismo atleta también deba ocupar un puesto en la lista de fútbol o rugby. Si eres una persona de TI y tienes un conjunto de requisitos, puedes hacer que un dispositivo ocupe todas esas casillas de verificación en tu lista: llena todas las posiciones disponibles en tu lista. Pero si tiene el presupuesto y los recursos para comprar e implementar una solución más sólida para cada necesidad que tenga, sin duda iría más lejos como una estrategia más sostenible.

7
jgbelacqua

Separación de preocupaciones. Sí, el enrutador puede hacer el trabajo de un firewall, pero un firewall adecuado hará un mejor trabajo. Tendrá más control sobre la red y tendrá un respaldo si el enrutador es violado.

6
Steve

No tiene sentido agregar un firewall de inspección de estado o mover VPN y NAT a un firewall de inspección de estado. Esto se debe a que los cortafuegos de inspección de estado clasifican y controlan el tráfico por números de puerto. Dado el número de aplicaciones de salto de puerto y el número de aplicaciones que utilizan el puerto 80 o el puerto 443, un firewall con estado es inútil.

Sin embargo, recomendaría implementar un firewall de "próxima generación" (NGFW) detrás de su enrutador Edge. Las funciones clave que realizaría el NGFW serían identificación y control de aplicaciones, control de usuarios, segmentación de la red interna, enrutamiento basado en políticas, QoS y prevención de amenazas.

3
Bill Frank

Como la mayoría de los ataques populares pasan por alto un cortafuegos de inspección de paquetes al ejecutar el puerto 80, sugeriría una configuración ligeramente diferente.

En primer lugar, hace diez años, los principales proveedores de firewalls incorporaron protocolos de enrutamiento en sus firewalls, de modo que el enrutador Edge podría eliminarse, simplificando el diseño y la implementación de la red. Se acordaron suficientes tipos de seguridad de TI corporativa, por lo que Nokia/Check Point, Juniper/NetScreen y Cisco tenían un negocio próspero. Por lo tanto, al menos según la opinión popular basada en las ventas, puede tener un diseño de red sólido si el firewall y el enrutador Edge son el mismo dispositivo.

Sugeriría, entonces, que tenga un firewall/enrutador en el borde, y luego algún tipo de proxy o dispositivo de inspección profunda de paquetes dentro. El firewall/enrutador maneja todas las cosas antiguas, "fáciles" y bien entendidas. El proxy/DPI proporciona cierta protección contra el material actual. Todo el tráfico interno debe pasar por un dispositivo proxy/DPI, para validar que el tráfico que sale es aceptable (no de un troyano o gusano, que no va a sitios que demandarían a la organización) y que las respuestas que regresan no son malware (no es que obtendrá el 100%, pero puede reducir la exposición potencial).

Puede obtener un firewall VPN DPI con enrutamiento, todo en una caja, por un montón de dinero. Eso estaría bien. Sugeriría, entonces, que divida lo funcional en función de la carga en lugar de solo la función. Por lo tanto, si tiene mucho tráfico de VPN y eso está agotando la CPU, entonces tiene sentido obtener un dispositivo VPN separado. Si DPI/proxy está consumiendo mucha CPU, sáquelo de su propia caja.

Finalmente, obtenga algo de la religión de Defensa en profundidad. Piense en las vulnerabilidades que tiene cuando diferentes componentes de la red, por ejemplo, las máquinas de los usuarios finales o el servidor Exchange o el servidor de respaldo de la empresa, se ven comprometidos. Al hacer cada uno de ellos, piense en el diseño de su red, cómo detectaría que el componente está comprometido, qué próximos pasos podría realizar un atacante y cómo podría limpiar el desorden después de que se encuentre el comprometido.

1
pcapademic